你知道,你在输入一个网站的网址的时候,不会打开奇怪的钓鱼网站,是靠谁吗?其实,是靠一个每3个月就要召开一次的互联网神秘仪式,以及七剑——7把密钥。
从2010年开始,每隔3个月,这个被叫做密钥仪式(key ceremony),或者根区密钥签名密钥仪式(Root Signing Ceremony)的神秘会议就会在美国东部或者西部召开一次。而参加这个仪式的,是一些手持互联网“钥匙”的神秘人。
这些神秘人聚集起来,就可以取出七剑(7张智能卡),而这七剑就可以召唤出一把威力巨大的互联网大剑——掌控者互联网全网“号码本”的主密钥(master key)。这把大剑,守卫着互联网的一个核心系统——DNS,也就是域名系统(具体来说,他们控制着域名系统安全扩展(DNSSEC))。
DNS相当于是互联网的黄页、号码本或花名册,里面记录着不同网站的网址以及它对应的IP地址,比如环球科学的网址www.huanqiukexue.com和它对应的响应IP 123.56.147.167。当你在浏览器里输入网址时,就要靠DNS帮你查找正确的IP,从而打开正确的网页。如果没有DNS,那么想要访问任何一个网址的话,就要背诵这个网址的IP,相当麻烦。
那么,如果有坏人故意把网址对应的IP地址乱改,导航到奇奇怪怪的钓鱼网站上该怎么办?这就需要有可靠的方法来防止坏人篡改DNS系统了,这就是生成主密钥的密钥仪式诞生的原因。
主密钥是一串代码,叫做根区密钥签名密钥(root key-signing key),用它可以访问储存着整个互联网域名的数据库,也就是全世界网址的“黄页”——互联网号码分配局(Internet Assigned Numbers Authority,IANA)。
互联网号码分配局归一个比较大的非赢利组织管,它就是互联网名称与数字地址分配机构(ICANN)。ICANN的副主席Matt Larson曾表示,“如果你拿到了主密钥,你就可以产生你自己的根域,你就可以控制别人能够访问什么网站了。”也就是说,如果你能集齐七剑,召唤出大剑,你就可以号令武林,唯你独尊。所以这把主密钥,基本上可以在互联网兵器谱上排得上前三甲了。
这样厉害的“武器”,交给谁恐怕都会让别人不服。因此在2016年,美国政府将DNS数据库,也就是互联网号码分配局的控制权转让给了ICANN,让它从名义上脱离了美国政府的控制。可是,要是ICANN自己就是坏蛋怎么办,怎么能相信它呢?ICANN是一个在美国的非盈利机构,自称不从属于任何个人、政府或组织。但是,还是有不少人对ICANN不太放心。
因此,ICANN有时会在自己的网站上直播这个仪式,向全世界的人证明他们真的有认真在做哦。
我们来看看这个仪式的具体过程吧。2014年的某一天,一些神秘人聚集到了美国加州洛杉矶西南部的埃尔塞贡多(El Segundo)的一栋普普通通的大楼里,这个地方离洛杉矶国际机场大概几千米。他们将要召开密钥仪式。这些人来自全球各地,有瑞典人、俄国人、西班牙人、葡萄牙人。而这些密钥持有者见面召开密钥仪式,就是为了召唤大剑,从而确认世界的网址“黄页”——DNS是真实的,没有被坏蛋改过。
万一哪天DNS系统崩塌了,也就是说互联网的黄页被人烧了,那么这些人还可以聚集起来,重建世界的DNS系统。那么,互联网密钥持有者是怎么选出来的呢?现在ICANN一共有21位密钥持有者。其中的20位从第一场仪式开始就一直是ICANN的成员。选择密钥持有者的过程也简单到让人吃惊。ICANN在网站上公布了一个招聘启事,宣布一共招募21名密钥持有者,结果有40个人报名。
最后被选中的互联网密钥“护法”都具有网络安全的技术背景,并且为不同的国际机构工作。找全世界各地的护法的目的就是为了让权力分散,不让个人、单个组织或国家控制大剑。其中一位密钥持有者就是来自中国互联网信息中心(CNNIC)的姚健康。
参加2016年8月密钥仪式的人。图片来源:ICANN。那个中途退出的密钥持有者是谁呢?这个人一点也不简单,因为他是互联网之父之一——文顿·瑟夫(Vint Cerf)。
瑟夫大爷已经奔8了,不做互联网护法后,他变成了教主——谷歌的首席互联网传教士(Chief Internet Evangelist)。这21个密钥持有者被分为两波,14个是主要密钥持有者,他们每个人手里有一把传统的物理钥匙,可以打开一个保险箱,保险箱里就藏着智能卡,用这些智能卡可以启动一台能产生主密钥的机器,也就是召唤大剑。所以下文就叫他们护法。
14个主要密钥持有者各有一把传统的物理钥匙,可以打开一个保险箱,保险箱里有一张智能卡,用这些智能卡可以启动一台能产生主密钥的机器。
其余的人是后备密钥持有者。他们每人也有一张智能卡,每张智能卡里有一部分代码,这些人的代码合起来,就可以建造一个备用密钥生成器(replacement key-generating machine)。每年,这些后备的影武士都要拍一张自己和当天报纸的合影,然后发给ICANN,证明我还活着,人在卡在。仪式就在这个数据中心进行。进入这个地方要经历层层安检,和007电影差不多。
仪式开始时,大家先要通过一扇安全门,这扇门需要一个密码、一张智能卡,还有手部的生物识别才能打开。进去以后,就来到了一个“老鼠笼”里。在这个老鼠笼里,每次只有一扇门能打开。这个老鼠笼的出口需要另外一套智能卡、手印,还有密码才能开启。进入仪式的房间更加复杂,每次只能进入几个。ICANN的高级项目经理Richard Lamb扫描了虹膜以后,让所有人进入会场所在的房间。
参与仪式的,除了护法,还有一些见证者,他们是整个仪式的目击证人。这些目击者中,一些也是安全专家,一些则是外行,比如来自会计审计公司普华永道的审计员。
进去以后,就会给大家一份仪式流程,里面记录着仪式包含的一百多个程序。整个仪式过程还会被录影,有时会在ICANN网站上直播。仪式的细节当然需要严格保密,因此仪式会场上没有任何电子信号能够自由出入。保安、清洁工以及闲杂人等都无法进入仪式会场。所以,仪式会场是护法亲自打扫的。这次,来自瑞典的护法Anne-Marie Eklund Löwinder就在仪式前一天客串了清洁工,给这里吸尘。
会场有点像医院的候诊大厅,里面有2排金属凳子,中间一个桌子。会场里还放着一些摄像机,它们负责拍摄会议内容。房间的一边还有一个2.4米*2.4米的安保笼子,安保笼子里是2个保险箱。保险箱里存放着智能卡,用智能卡就可以启动产生主密钥的机器。这次的仪式主持人是ICANN的技术主管Francisco Arias。首先,Arias和4位护法(仪式需要至少3位护法参加)进入安保笼子,去取放在保险箱里的智能卡。
智能卡放在一个安保袋子里。
这次与会的护法是来自葡萄牙的João Damas,为一家安全分析公司工作的美国人Edward Lewis,还有为拉美和加勒比海提供互联网注册服务的公司Lacnic工作的乌拉圭人Carlos Martinez。看起来非常稳的密钥仪式,其实也不乏人为的意外。比如在这次仪式上,有一个人重重地摔了一下安保笼子的安全门,触发了地震监测仪,导致安全门自动关闭。(真的不是故意的吗?
)仪式主持人和护法们全部被锁在了放智能卡的安保笼子里面…手忙脚乱了6分钟后,他们想到了解决方法:触发警报器,用紧急撤离的方式离开安保笼。
所以,警报呼啦啦地响起,大家被疏散到了走廊里。到了晚上10点09分,大家回到了会场。产生主密钥的机器已经准备好了,插入智能卡后,它将会产生一长串加密的密码,也就是主密钥——大剑。如果这个机器掉到地上,或者被重重地靠了一拳,那么它就会启动自毁程序。现在所有的重要设备都已经从保险箱里拿了出来,可以进入仪式的第二步:密钥签名(key signing)了。
晚上10点48分,一个灰色的盒子被启动,护法们把各自的智能卡插入主密码生成机器。10点59分,来自美国的安全专家Alejandro Bolivar开始念一串听起来很荒谬的乱码“平足担保造砖场…”,这是为了让见证人确认一遍。见证人确认了这些古怪的代码后,签了字。晚上11点02分,在一行代码被输入电脑后,新的经过签名的主密钥——大剑就生成了。
接下来大家花了20分钟把该拔的拔掉,该关的关掉,然后把一个存有主密钥的USB交给ICANN的工程师Tomofumi Okubo。
Okubo会把里面的主密钥发送给Verisign。Verisign管理着DNS的“根区域”,上面提到的护法Alejandro Bolivar就为这家公司工作。它将会告诉那些控制.com啊,net啊的服务器应该怎么处理你输入的网址。使用3个月后,这个主密钥就会失效,仪式就要重来一次。接下来,四个护法又回到了刚才那个把他们关住的安全笼子里,把智能卡放回去。仪式就结束了,大家可以出去happy了。
看完这个和想象有点不同的密钥仪式,还是让人有点担心DNS的安全。好在,互联网本身并不属于任何一个人、机构或政府。ICANN在官网上表示,互联网包含许多不同的系统,而DNS只是其中之一。控制了DNS绝对无法完全控制互联网的其他方面。这就好比,倚天剑屠龙刀虽然可以制霸武林,但是武林并不属于任何一个人,武林盟主也不行。
此外,ICANN只是确保互联网安全的一环,还有许多组织也承担着保卫互联网的职责,比如互联网工程任务组(the Internet Engineering Task Force),还有万维网联盟(World Wide Web Consortium)。对了,万维网联盟就是万维网之父——英国计算机科学家蒂姆·伯纳斯-李(Tim Berners-Lee)本人掌管的。
这些组织为互联网制定了各种标准,比如网络传输协议(protocols)。
蒂姆·伯纳斯-李有些小朋友还是不甘心地想知道,万一有人把所有护法都干掉,会怎样呢?Lamb在ICANN于2010年6月公布的视频中说,万一护法们都出了意外,不能到场,还是可以把密码箱钻开的。没想到吧。